Ugrás a tartalomtörzsre
Microsoft 365
Feliratkozás

Biztonságos, jelszó nélküli bejelentkezés Microsoft-fiókokhoz egy biztonsági kulcs vagy a Windows Hello használatával

Mellett

Szerkesztői jegyzet, 2018. 11. 26.:
Ezt a bejegyzést a jelszó nélküli bejelentkezés elérhetőségi információinak megfelelően frissítettük.

Üdv mindenkinek!

Izgatottan jelentem be a mai nap híreit. Bekapcsoltuk azt a funkciót, amelynek köszönhetően biztonságosan, egy szabványokon alapuló FIDO2-kompatibilis eszközön jelentkezhet be a Microsoft-fiókjába – nincs szükség felhasználónévre vagy jelszóra! A FIDO2 lehetővé teszi a felhasználóknak, hogy szabványokon alapuló eszközökkel egyszerűen végezhessék el a hitelesítést az online szolgáltatásokban – mobil és asztali környezetekben egyaránt. Ez a lehetőség az Amerikai Egyesült Államokban már most rendelkezésre áll, globálisan pedig a következő néhány hétben válik elérhetővé.

Az egyszerű használat, a biztonság és a széles körű iparági támogatás előnyei otthon és a modern munkahelyen egyaránt érvényesülnek. Minden hónapban több mint 800 ezer ember használ Microsoft-fiókot arra, hogy tartalmakat hozzon létre, csatlakozzon és tartalmakat osszon meg az Outlookban, az Office-ban, a OneDrive-ban, a Bingen, a Skype-ban és az Xbox Live-ban munka és játék céljából. Mostantól pedig mindezt erről az egyszerű felhasználói felületről tehetik, sokkal nagyobb biztonság mellett.

A mai naptól kezdve egy FIDO2-eszköz vagy a Windows Hello használatával is bejelentkezhet Microsoft-fiókjába a Microsoft Edge böngészővel.

Ennek működését mutatja be a következő rövid videó:

A Microsoft küldetésének tekinti, hogy kiiktassa a jelszavak használatát, és segítsen felhasználóinak az adatok és a fiókok veszélyforrások elleni védelmében. A Fast Identity Online (FIDO) Alliance és a World Wide Web Consortium (W3C) tagjaként másokkal együttműködve nyílt szabványok fejlesztésén dolgozunk a következő generációs hitelesítéshez. Örömmel tudatom, hogy a Microsoft a Fortune 500-as listáján szereplő cégek közül elsőként támogatja a jelszó nélküli hitelesítést a WebAuthn és a FIDO2 szabvánnyal, a Microsoft Edge pedig minden további jelentősebb böngészőnél több hitelesítőt támogat.

Ha többet szeretne megtudni a jelszó nélküli hitelesítés működéséről és az első lépésekről, olvasson tovább.

Első lépések

Bejelentkezés a Microsoft-fiókkal egy FIDO2 szabványú biztonsági kulcs használatával:

  1. Ha még nem tette meg, telepítse a Windows 10 2018. októberi frissítését.
  2. Nyissa meg a Microsoft-fiókok lapját a Microsoft Edge böngészőben, és jelentkezzen be a szokásos módon.
  3. Válassza a Biztonság További biztonsági beállítások lehetőséget, és a Windows Hello és biztonsági kulcsok csoportban megtekintheti a biztonsági kulcsok beállítását ismertető útmutatást. (Biztonsági kulcsot a FIDO2 szabványt támogató* partnereink egyikétől vásárolhat, ilyen például a Yubico és a Feitian Technologies.)
  4. Amikor a következő alkalommal bejelentkezik, választhatja a További beállítások > Biztonsági kulcs használata lehetőséget, vagy beírhatja a felhasználónevét. Ekkor a rendszer egy biztonsági kulcs használatára kéri a bejelentkezéshez.

Az alábbiak pedig ismertetik, hogy hogyan jelentkezhet be Microsoft-fiókjával a Windows Hello használatával:

  1. Győződjön meg arról, hogy telepítette a Windows 10 2018. októberi frissítését.
  2. Ha még nem tette be, be kell állítania a Windows Hellót. Ha már beállította a Windows Hellót, már nincs is több teendője.
  3. Amikor a következő alkalommal bejelentkezik a Microsoft Edge böngészőben, választhatja a További beállítások > A Windows Hello vagy egy biztonsági kulcs használata lehetőséget, vagy beírhatja a felhasználónevét. Ekkor a rendszer a Windows Hello vagy egy biztonsági kulcs használatára kéri a bejelentkezéshez.

Ha további segítségre van szüksége, részletes súgócikkünkből megtudhatja, hogy hogyan végezheti el a beállítást.

*A FIDO2 szabványnak számos olyan további funkciója van, amelyet alapvetőnek tekintünk a biztonság szempontjából, ezért csak azok a kulcsok fognak működni, amelyek esetében telepítve vannak ezek a funkciók. További információért olvassa el a Mi a Microsoft-kompatibilis biztonsági kulcs? című cikket.

Hogyan működik?

Titokban bevezettük a WebAuthn és a FIDO2 CTAP2 szabványt szolgáltatásainkba, hogy mindezt valóra váltsuk.

A jelszavakkal ellentétben a FIDO2 a felhasználói hitelesítő adatok védelmét nyilvános/privát kulccsal végzett titkosítással látja el. FIDO2 típusú hitelesítő adatok létrehozásakor és regisztrálásakor az eszköz (a PC vagy a FIDO2-eszköz) létrehoz egy privát és egy nyilvános kulcsot az eszközön. A privát kulcs tárolása biztonságosan, az eszközön történik, és csak azt követően használható, hogy fel lett oldva a zárolása egy helyi művelettel, például biometriai vagy PIN-kód megadásával járó művelettel. Vegye figyelembe, hogy a biometriai vagy a PIN-kódon alapuló hitelesítő adatok mindig megőrződnek az eszközön. A privát kulcs tárolásával egy időben a rendszer a nyilvános kulcsot elküldi a Microsoft-fiókok rendszerének a felhőben, és regisztrálja azt az Ön felhasználói fiókjával.

Amikor később bejelentkezik, a Microsoft-fiókok rendszere egy egyszeri kulcsot biztosít a PC vagy a FIDO2-eszköz számára. Az Ön által használt PC vagy eszköz ezután ezt a privát kulcsot használja az egyszeri kulcs aláírásához. Az aláírt egyszeri kulcsot és metaadatokat visszaküldi a Microsoft-fiókok rendszerének, ahol megtörténik annak érvényesítése a nyilvános kulccsal. Az aláírt metaadatok, a WebAuthn és a FIDO2 szabványnak megfelelően bizonyos információkat biztosít, például hogy jelen volt-e a felhasználó, és a helyi műveleten keresztül érvényesíti a hitelesítést. Ezek azok a tulajdonságok, amelyek miatt a Windows Hello és a FIDO2-eszközök segítségével történő hitelesítés nem „adathalászható”, illetve nem tulajdonítható el egyszerűen a kártékony programok által.

Hogyan történik ennek a megvalósítása a Windows Hello és a FIDO2-eszközök használatával? A használt Windows 10-es eszköz képességeitől függően vagy egy beépített, hardveres platformmegbízhatósági modul (TPM) néven ismert biztonsági enklávéval, vagy egy szoftveres TPM-mel fog rendelkezni. A TPM tárolja a privát kulcsot, amelynek zárolását csak az Ön arcával, ujjlenyomatával vagy PIN-kódjával lehet feloldani. Hasonlóan, a FIDO2-eszközök, például a biztonsági kulcsok, olyan kis méretű külső eszközök, amelyek saját beépített biztonsági enklávéja tárolja a privát kulcsot, és a zárolás feloldásához biometriai műveletet vagy PIN-kód megadását követeli meg. Mindkét lehetőség kéttényezős hitelesítést biztosít egyetlen lépésben, amelynek során a sikeres bejelentkezéshez egy regisztrált eszközre és egy biometriai vagy PIN-kódon alapuló műveletre is szükség van.

Ebből az Identity Standards blogon elérhető cikkből a bevezetéssel kapcsolatos összes technikai részletet megismerheti.

Mi a következő lépés?

A jelszavak használatának csökkentésére és akár kiküszöbölésére tett erőfeszítéseink részeként még számos nagyszerű dolog vár megjelenésre. Jelenleg azon dolgozunk, hogy ugyanezt az élményt biztosítsuk a böngészőkből biztonsági kulcsokkal, munkahelyi és iskolai fiókokkal történő bejelentkezéshez az Azure Active Directory-ban. A nagyvállalati ügyfelek a következő év elején vehetik igénybe a funkció előzetes verzióját, amelynek keretében engedélyezhetik majd az alkalmazottaiknak, hogy fiókjukhoz saját biztonsági kulcsot beállítva jelentkezzenek be a Windows 10-be és a felhőbe.

Mivel pedig egyre több böngésző és platform támogatja a WebAuthn és a FIDO2 szabványt, a jelszó nélküli bejelentkezés – amely mától rendelkezésre áll a Microsoft Edge-ben és a Windowsban –, remélhetőleg a jövőben mindenhol elérhető lesz.

A következő év elején további hírekkel szolgálunk majd.

Üdvözlettel:
Alex Simons (@Twitter: @Alex_A_Simons)
CVP, Programkezelés
Microsoft Identity részleg

Kapcsolódó bejegyzések